PT-2024-32842 · Ssoready+1 · Ssoready+1
Ahacker1-Securesaml
·
Publicado
2024-10-09
·
Atualizado
2024-11-05
·
CVE-2024-47832
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do SSOReady anteriores à 7f92a06
Descrição
O problema diz respeito a ataques de contorno de assinatura XML. Um invasor pode explorar o comportamento diferencial entre analisadores XML para contornar a assinatura caso tenha acesso a determinadas mensagens assinadas por IDP. Os usuários da instância hospedada publicamente do SSOReady não são afetados. A vulnerabilidade foi descoberta por um pesquisador de segurança e seu mecanismo preciso não foi divulgado publicamente para evitar possíveis ataques a outras implementações SAML.
Recomendações
Para resolver o problema, atualize para a versão 7f92a06 ou posterior do SSOReady, atualizando suas imagens do Docker do SSOReady de
sha-... para sha-7f92a06. Não há soluções alternativas conhecidas para esta vulnerabilidade.Exploit
Correção
Improper Verification of Cryptographic Signature
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Ssoready
Suse